Cenni sulla sicurezza delle Reti
Autore :Demarchi Roberto
Docente :P. M. Fermeglia
Tutore :Ing. M.Viola
Sistemi Informativi
Ing.informatica - teledidattico
sicurezza delle reti
1
Attacchi –tipologie 1/2
Interruzione
Intercettazione
sicurezza delle reti
2
Attacchi – tipologie 2/2
Modificazione
Generazione
sicurezza delle reti
3
Aspetti importanti nella sicurezza delle reti
Autenticazione

controllo di chi accede a determinate risorse
Controllo dell’accesso

Verifica privilegi
Confidenzialità messaggi e dati

Quali dati rendere visibili
Integrità dei messaggi

Evitare contraffazioni
Non ripudio dei messaggi

Certezza mittente – es:firma elettronica
Disponibilita’
sicurezza delle reti
4
Attacchi passivi
monitoraggio e ascolto trasmissioni, non comportano alterazioni
dell’informazione
A riguardo si identificano
Rilasci del contenuto di un messaggio
Si vuole impedire al destinatario diapprendere l’informazione
riservata.
Analisi del traffico
Analisi tipologie messaggi e altre informazioni per
determinarel’identità degli host, frequenza e lunghezza messaggi
ect.
sicurezza delle reti
5
Attacchi attivi
possibili alterazioni dati, fino alla falsificazione del flusso
A riguardo si identificano :

Masquerade
Entità che finge di essere un’entità diversa

Replay
intercettazione passiva dati e successiva ritrasmssione per generazione effetto non
autorizzato

Modifica di messaggi
Modifica parziali messagi o ritardati

Negazione del servizio
Impedimento normale servizio delle comunicazioni.Peggio : interruzione intera
rete
sicurezza delle reti
6
Attacchi di rete – Terminologia
• Spoofing
• Sniffing
• Shadow server
• Dos (Denial of Service)
sicurezza delle reti
7
Spoofing
• Consiste nella falsificazione degli indirizzi di rete del
mittente; ( Spoofing IP )
• Tentativo di alterare dati e accedere a programmi ;
(Spoofing dati)
Spoofing cieco :
• Invio pacchetti TCP con indirizzi partenza
falsificati:cieco perchè non si ha sempre speranza di
vederli tornare
• Rimedi : Crittografia / Autenticazione
sicurezza delle reti
8
Sniffing
Rappresenta una lettura non autorizzata
di pacchetti. Normalmente avviene in
reti di tipo broadcast e nei nodi di
smistamento dei pacchetti ( es.
gateway)
Possibile rimedio : crittografia
sicurezza delle reti
9
Shadow Server
Server ombra, macchina che si spaccia per
altre e che appare essa fornitrice di un
servizio. Il shadow server deve risultare più
veloce del server del quale deve escluderne il
servizio, per esempio con un attacco come la
negazione del servizio.
Rimedio : tecniche autenticazione server
sicurezza delle reti
10
Dos (Denial of Service)
Per impedire il normale funzionamento
di un server, la cosa “ migliore “ è quella
di tenerlo impegnato in maniera tale da
comprometterne il servizio.
Rimedi : monitoraggio rete.
sicurezza delle reti
11
Rete
Router
Rete Privata
Internet
sicurezza delle reti
12
Router [1/2]
 dispositivi indispensabili per connettere la rete locale
di una azienda a Internet ;
 smistano il traffico di rete, basandosi su una mappa di
rete denominata “tabella di rou-ting” ;
 fanno in modo che i pacchetti raggiungano le loro
destinazioni attraverso i percorsi più efficaci secondo
diversi algoritimi di instradamento;
sicurezza delle reti
13
Router [2/2]
 dispongono di funzioni di packet filtering
effettuare un primo filtraggio del traffico di rete ;
per
 offrono generalmente la funzionalità NAT (Network
Address Translation) per permettere di connettere
alla rete pubblica [ una linea di connessione a
Internet ] una alla rete privata alla quale vengono
assegnati un’insieme di indirizzi privati ;
sicurezza delle reti
14
Filtraggio della rete
 Indirizzo IP da cui provengono i dati;
 Indirizzo IP di destinazione ;
 Porte sorgente e destinazione TCP/UDP;
 Datagram di inizilizzazione della connessione che usa
bit
TCP SYN o ACK
sicurezza delle reti
15
Esempio filtraggio
Internet
Router
Rete locale
Tabella
filtraggio
sicurezza delle reti
16
Tabella filtraggio
Azione/Regole
IP Sorgente
Porta
Sorgente
Porta
Destinazione
Protocollo
Direzione
TRAFFICO
Permesso
198.21.120.2
>1024
21
TCP
esterno
Permesso
198.21.120.2
20
Negato
qualsiasi
qualsiasi
interno
>1024
qualsiasi
sicurezza delle reti
qualsiasi
qualsiasi
entrambe
17
Firewall
Il router viene spesso sostituito da
uno strumento , o meglio da un
insieme
di
componenti
hardware/software
dedicato
per
assicurare la massima sicurezza che
va sotto il nome di firewall;

 Firewall = “muro tagliafuoco”
sicurezza delle reti
18
Firewall e TCP/IP
TCP/IP
Firewall
Analisi
Application
Application Gateway
Data Payload
Transport TCP
Circuit Gateway
TCP/UDP Header
Network- IP
Packet Filtering
IP Header
Presentation
Session
Data link
Generalmente
pysical
Non controllati
sicurezza delle reti
19
Ancora Firewall 1/2
Distinguiamo con grande generalità due tipi di firewall :
• Packet filter ( screen ) : regole su
pacchetti IP (visto in precedenza )
• Proxy
application gateway o
application firewall (lievello più alto
packet
filter
)
:
separano
o
Internet/Intranet
sicurezza delle reti
20
Ancora Firewall 2/2
Packet filter


Pregi :Veloci , flessibili, versatili
Difetti : Non offrono molta sicurezza, agiscono a livello di rete e
non di applicazione
Stateful inspection


Pregi: maggiore sicurezza (verifica rete/applicazione)
Difetti : Non molto veloce; file di log migliorabili
Proxy


Pregi : Sicuri
Difetti : Deve supportare direttamente ogni applicazione
Proxy + dynamic filetring
sicurezza delle reti
21
Impiego Firewall
Internet
Rete esterna
Barriera offerta dal Firewall
Firewall
Rete interna
sicurezza delle reti
22
Application gateway
 L’
Application gateway
o semplicemente
proxy , è in grado, a differenza del firewall
basato solo su packet filtering, di autenticare
gli utenti connessi;
 Generano dei report sul traffico di rete,file
log;
 Mascherano l’indirizzo del richiedente della
rete interna
sicurezza delle reti
23
NAT(Network Address Translation )
 Il mascheramento dell’origine del collegamento è
importante in quanto evita di trasmettere
informazioni relative alla rete protetta dal firewall ;
 Quando una macchina della rete interna apre una
connessione verso un server esterno il firewall
sostituisce ad essa il suo indirizzo ;
 Inoltre l’indirizzo privato della rete interna è non-
routable (non instradrabile dai router)
sicurezza delle reti
24
Mascheramento IP
L’operazione di mascheramento è molto importante perchè
permette di non trasmettere all’esterno alcun tipo di
informazione relativamente alla tipologia della rete protetta dal
firewall.
Nel momento in cui una macchina della rete interna richiede
una connessione verso l’esterno, essa viene intercettata dal
firewall che inserisce il proprio indirizzo IP, a sostituzione di
questa, facendo credere all’esterno che esso sia il solo punto di
cominicazione con l’esterno.
Inoltre il firewall intercetterà e sarà in grado di riconoscere il
traffico di ritorno destinatario dei nodi “ mascherati “ e di
inoltarlo, nella maniera più corretta, ai richiedenti.
sicurezza delle reti
25
Schema con Application Gateway
Regole
autenticazione
Internet
Utilizzabili per la ricerca di
eventuali attacchi in corso
Application
Gateway
(PROXY)*
Rete interna
File.log
* Possono risiedere più server proxy i quali si occuperanno dell’effettivo trasferimento dei pacchetti
dalla due reti, e per i vari servizi per gli utenti
interni delle reti
sicurezza
26
Proxy
Cache proxy : offre un servizio che ha la capacità di
memorizzare in locale i file richiesti più
frequentemente ( protocolli : Http / Ftp )
sicurezza delle reti
27
Configurazioni firewall
Dual-homed host

Una macchina multi-homed è un macchina dotata di più schede di rete e
ognuna di esse è rivolta a un segmento distinto della rete.
Se le schede di rete sono due si ha la configurazione Dual – Homed Host
Bastion host

Macchina con grado di criticità altissimo perchè solitamente collocata in
posizione ( anche al di fuori della rete aziendale pur appartenendovi )
critica.
sicurezza delle reti
28
Zona DMZ
Zona che separa una rete non sicura da una rete
sicura
DMZ
Internet
Screening router
Bastion
Host
sicurezza delle reti
Rete privata
29
Esempio DMZ
Dominio
Sicurezza
Zona demilitarizzata,
ovvero zona più sicura
di Internet ma meno
meno del dominio di
sicurezza
Firewall Interno
Firewall Uscita
Bastion host
Host interno
Server che fornisce
Informazioni
Pubblicità
Internet
Server interno
Server
E-Commerce
Bastion host
Perimetro sicurezza
sicurezza delle reti
30
VPN [ 1/2 ]
VPN ( Virtual Private Network ) è un meccanismo per fornire comunicazioni
(crittografiche) sicure, in due configurazioni fondamentali :


Utente-rete
Rete-Rete
Rete protetta
Utente remoto
Rete protetta
Internet
Firewall
Firewall
sicurezza delle reti
31
VPN [ 2/2 ]
Una VPN dunque permette a due reti private di essere connesse in maniera
sicura attraverso reti pubbliche quale Internet.
Le aziende hanno la necessità, per il fatto di avere più sedi settorialmente
diverse, di connettere tra loro più reti private attarverso la rete pubblica.
Internet con i suoi protocolli standard non è in grado di fornire sicurezza.
VPN fornisce




Privatezza
Autenticazione
Integrità
( Tunneling )
Protocolli usati da VPN



IPSec
SSL
....
sicurezza delle reti
32
KERBEROS
Kerberos è un protocollo di autenticazione di rete, sviluppato negli anni
1980 , con le seguenti principali caratteristiche :
Segreti condivisi
Se A confida un segreto a B il segreto è conoscituo solo da loro
due. Qualora B rivceva cominicazioni riguardo a quel segreto deve essere
sucuro che si tartti di A, perciò deve essere protetta da una password.
Se però per qualche motivo qualcheduno ne viene a conoscenza (
p.es. attraverso uno sniffer ) cade la segretezza. Kerberos rIoslve questo
problema grazie alla crittografia.

Autenticazione multipla
Sono previste tre componenti:

 Applicazine/Client
 Risorse di rete
 KDC : controller di dominio ( DC Domain Controller )
sicurezza delle reti
33
KERBEROS 1/3
AS =Authentication Server
TGS = Ticket Granting Servers
KDC
Una volta per
sessione di
connessione
KDC=Key Distribution Center
Server=Server a cui viene
richiesto un servizio
AS
1
2
TGS
3
4
Client
5
Una volta per
tipologia di servizio
6
Server
Una volta per
tipologia di servizio
sicurezza delle reti
34
KERBEROS 2/3
Kerberos prevede che a ogni accesso a un server da parte di un utente/client
sia effettuata un’autenticazione per mezzo di una terza parte , ovvero da un
server ritenuto sicuro [ KDC il distributore delle chiavi ]. KDC è formato da un server
di autenticazione AS e da un validatore di Ticket (TGS). KDC contiene l’archivio degli
identificativi delle entità presenti nel dominio.
Fasi :
1.
richiesta ticket -granting
2.
Il server AS invia un ticket granting TGT ( certificato crittografato )+ chiave
sessione
3.
Richiesta di servizio
4.
Invio ticket + chiave sessione
5.
Richiesta ticket di tipo service-granting
6.
Il server può fornire nuovo autenticatore
sicurezza delle reti
35
KERBEROS 3/3
In sintesi
 l’utente si connette ad una postazione e richiede un servizio ad un
host
 As verifica diritti di accesso secondo un asua base dati, emmette un
ticket e una chiave di sessione (cifrati )
 La workstation richiede all’utente – password e così decifra il
messaggio in arrivo. Lo invia poi al TGS + autenticatore (username
/ indirizzo di rete client / ora sistema )
 TGS decifra il ticket e l’autenticatore. Emette un ticket per il server
richiesto
 Il server verifica ticket e autenticatore.
sicurezza delle reti
36
KERBEROS E WINOWS 2000
Kerberos di windows 2000 supporta il meccanismo della delega
della’autenticazione
FIDUCIA TRANSITIVA – utlizzazione
risorse altri domini
Dominio A
Fiducia
Dominio B
Fiducia
Dominio C
Fiducia non transitiva
sicurezza delle reti
37
Kerberos e Windows 2000
Kerberos supporta le realzioni di fiducia transitiva
I ticket dell’utente possono essere inoltrati da una macchina
all’altra
Supporta il logon con le smart card
Windows XP riusa se pur con modifiche Kerberos
sicurezza delle reti
38
Conclusioni
Le aziende hanno più che mai la necessità di connettersi a
Internet pena, la loro stassa soppravivenza.
Se da un lato si aprono ad esse grandi prospettive e
opportunità, dall’altro si espongono a notevoli tentativi di
intrusione.
I firewall, nelle loro molteplicità d’uso, offrono un valido
supporto alla sicurezza ma non rapparesentano la soluzione ad
ogni problema.
L’ammnistratore di rete dovrà essere attento e sensibile a
monitorare continuamante la rete e aggiornare continuamente il
software in uso.
Non per ultimo dovrà considerare le minacce più “ temibili “
ovvero quelle interne.
sicurezza delle reti
39